当前位置:   article > 正文

保证http安全性_如何使用http协议保证数据的安全性‘’

如何使用http协议保证数据的安全性‘’

http协议

重要的数据,要加密,用户名密码,即使被抓包监听,也不知道原始数据。 md5(不可逆),aes(可逆),自由组合

非重要数据,要签名,签名的目的是了防止篡改,比如http://www.xxx.com/getnews?id=1,获取id为1的新闻,如果不签名那么通过id=2,就可以获取2的内容等等。怎样签名呢?通常使用sign,比如原链接请求的时候加一个sign参数,sign=md5(id=1),服务器接受到请求,验证sign是否等于md5(id=1),如果等于说明正常请求。这会有个弊端,假如规则被发现,那么就会被伪造,所以适当复杂一些,还是能够提高安全性的。

登录态怎么做,http是无状态的,也就是服务器没法自己判断两个请求是否有联系,那么登录之后,以后的接口怎么判定是否登录呢,简单的做法,在数据库中存一个token字段(名字随意),当用户调用登陆接口成功的时候,就将该字段设一个值,(比如aes(过期时间)),同时返回给前端,以后每次前端请求带上该值,服务器首先校验是否过期,其次校验是否正确,不通过就让其登陆。(redis 做这个很方便哦,key有过期时间)


http与https区别

区别:
1、加密:http协议对传输的数据不进行加密;https协议对传输的数据使用SSL安全协议进行加密,https加密需要CA签发的证书。 
2、端口:http协议使用TCP的80端口;https协议使用TCP的443端口 
3、网络分层模型:http可以明确是位于应用层;https是在http的基础上加上了SSL安全协议,而SSL是运输层协议,所以https是应用层和传输层的结合

https如何保障安全


https使用SSL安全协议来保障安全性。具体体现在密钥和证书验证上。 
密钥: 
1、服务端生成一对公钥和私钥,将公钥和证书发送给客户端; 
2、客户端验证证书通过后生成一个对称加密的密钥,并使用服务器生成的公钥加密,发送给服务器; 
3、服务器使用私钥解密获得对称加密密钥。 
4、客户端和服务器相互发送消息认可对称加密密钥,至此加密通道建立。 
5、开始数据传输,在检验数据完整性的基础上,使用对称加密密钥进行加密解密。 
证书验证: 
一般来说浏览器都内置了权威CA的根证书,客户端使用根证书的密钥对服务器发来的证书进行解密验证,若域名、有效期、签发机关等验证项符合则通过,否则认定证书无效,断开连接。


HTTP协议简介

HTTP(超文本传输协议)是应用层上的一种客户端/服务端模型的通信协议,它由请求和响应构成,且是无状态的。(暂不介绍HTTP2)

  • 协议

协议规定了通信双方必须遵循的数据传输格式,这样通信双方按照约定的格式才能准确的通信。

  • 无状态
    无状态是指两次连接通信之间是没有任何关系的,每次都是一个新的连接,服务端不会记录前后的请求信息。

  • 客户端/服务端模型
    在这里插入图片描述


网络层级


应用层 —————— HTTP


传输层 —————— TCP UDP


网络层 —————— IP


数据链路层 ————数据链路


物理层 ——————物理介质

URL构成

用了这么久,你注意过吗?
在这里插入图片描述
协议内容

请求(Request)

客户端发送一个HTTP请求到服务端的格式:

  • 请求行

  • 请求头

  • 请求体

  • 响应(Response)

服务端响应客户端格式:

  • 状态行

  • 响应头

  • 响应体
    在这里插入图片描述
    状态码

HTTP状态码由三个十进制数字组成,第一个十进制数字定义了状态码的类型,后两个数字没有分类的作用。HTTP状态码共分为5种类型:
在这里插入图片描述
更详细的状态码可查看 HTTP状态码

但一般我们只需要知道几个常见的就行,比如 200,400,401,403,404,500,502.

请求方法

截止到HTTP1.1共有下面几种方法:
在这里插入图片描述
请求和响应常见通用头

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家自动化/article/detail/541711
推荐阅读
相关标签
  

闽ICP备14008679号